스위스는 5000명 이상의 사용자를 보유한 서비스 제공업체가 정부 발행 신분증을 수집하고, 가입자 데이터를 6개월 동안 보관하며, 암호화를 비활성화하도록 요구하는 논란이 되는 법안을 검토 중이다. 이는 전 세계 프라이버시 옹호자들의 반발을 불러일으켰고, Proton과 같은 기업들은 소위 "대규모 감시"를 피하기 위해 스위스에서 인프라를 이전하고 있다. 이 법안은 온라인 익명성을 위협하고 전 세계 사용자에게 영향을 미친다. 비판자들은 이를 러시아의 유사한 법률과 비교하며 스위스의 디지털 자유에 대한 공약에 대한 심각한 우려를 제기하고 있다.
더 보기
Google 위협 인텔리전스 그룹(GTIG)과 Mandiant는 수명이 다한 SonicWall Secure Mobile Access (SMA) 100 시리즈 어플라이언스의 취약점을 악용하여 민감한 데이터를 절취하는 지속적인 캠페인을 발견했습니다. 위협 행위자인 UNC6148은 이전에 훔친 자격 증명과 OTP 시드를 사용하여 보안 업데이트 후에도 액세스를 복구합니다. OVERSTEP이라는 백도어는 지속적인 액세스, 자격 증명 절취 및 멀웨어 은닉을 위해 부팅 프로세스를 변경합니다. Abyss 랜섬웨어 조직과 관련이 있을 수 있지만, 공격자의 동기와 피해자 수는 불분명합니다. SonicWall은 사용자에게 OTP 바인딩 재설정을 권장하는 업데이트를 릴리스했습니다.
더 보기
독일 법원은 메타가 사용자 동의 없이 제3자 웹사이트에 추적 픽셀을 삽입하여 GDPR을 위반했다며 사용자에게 5000유로를 지불하라고 명령했습니다. 이 판결은 선례가 되어 메타에 대한 집단 소송의 물결을 일으킬 가능성이 있습니다. 법원은 개별 사용자가 구체적인 손해를 증명할 필요가 없다고 밝혔습니다. 사용자 프로파일링과 수십억 유로의 이익을 창출하기 위한 추적 기술 사용은 유럽 데이터 보호법의 중대한 위반으로 간주되었습니다. 전문가들은 유사한 추적 기술을 사용하는 웹사이트와 앱에 큰 영향을 미칠 수 있으며, 집단 소송이 메타에 심각한 재정적 및 운영상의 위협이 될 수 있다고 경고합니다.
더 보기
컬럼비아 대학교가 대규모 데이터 유출 피해를 입었습니다. 해커티비스트가 수십 년에 걸친 250만 건의 학생 지원 데이터를 포함한 460기가바이트의 데이터를 훔쳤다고 주장하고 있습니다. 해커는 정치적 목적으로 지원자 합격/불합격 여부, 국적, ID 번호, 지원 학과 등의 정보를 표적으로 했다고 합니다. 대학교는 사이버 보안 회사에 조사를 의뢰했으며, 최근 악의적인 활동은 확인되지 않았지만, 직원 및 지원자의 사회 보장 번호 등도 포함된 이 유출의 전모를 파악하는 데는 수개월이 걸릴 수 있습니다.
더 보기
탈중앙화 금융(DeFi) 플랫폼 Abracadabra Finance가 해킹 공격을 받아 약 1300만 달러 상당의 암호화폐를 잃었다. 공격은 플랫폼의 격리된 대출 시장인 "cauldron"을 표적으로 했다. 공격자는 여러 거래를 실행할 때까지 감지되지 않았다. Abracadabra Finance는 보안 회사와 협력하여 조사를 진행 중이며, 도난당한 자금의 20%를 현상금으로 제공하고 있다. 일부 보안 회사는 이 공격을 탈중앙화 거래소 GMX와 연관 짓고 있지만, GMX는 연루를 부인하고 있다. 수사관들은 공격에 사용된 자금이 Tornado Cash에서 유래했을 가능성을 의심하고 있다. Tornado Cash는 최근 미국 재무부에 의해 제재가 해제되었다.
더 보기
유럽연합 집행위원회는 진화하는 위협에 대응하는 새로운 내부 안보 전략인 ProtectEU를 발표했습니다. 주요 내용은 유로폴을 완전한 기능을 갖춘 경찰 기관으로 강화하고, 데이터에 대한 합법적 접근 및 암호화 문제 해결(논란의 여지가 있는 조치), EU 단일 정보 분석 역량(SIAC)을 통한 정보 공유 개선 등입니다. 이 전략은 상황 인식 및 사이버 보안 법률 시행에서의 기존 결점을 인정합니다. 성공은 역사적으로 주권적인 국가 안보 문제를 고려하여 회원국의 정치적 의지와 협력에 달려 있습니다.
더 보기
FTC 위원장 앤드류 퍼거슨은 법무부에 23andMe의 인수자는 사용자의 유전자 데이터 및 기타 데이터를 보호하는 기존 개인정보 보호 정책을 준수해야 한다고 경고했습니다. FTC는 23andMe가 약속한 내용, 즉 사용자의 데이터 제어, 데이터 삭제 기능, 법적 영장 없이는 보험 회사, 고용주, 법 집행 기관과 데이터를 공유하지 않는다는 보장을 강조합니다. 퍼거슨은 23andMe의 개인정보 보호 정책에 명시적으로 명시된 이러한 약속은 유전자 데이터의 민감하고 불변적인 특성을 고려할 때 파산의 경우에도 지켜져야 한다고 강조합니다. FTC는 데이터 보호에 대한 소비자 신뢰의 중요성을 강조합니다.
더 보기
Chainalysis의 새로운 보고서에 따르면 2023년 랜섬웨어 지불액이 12억 5천만 달러에서 8억 1255만 달러로 35% 감소했습니다. 이러한 큰 감소는 주로 하반기에 집중되었으며, LockBit와 같은 주요 랜섬웨어 그룹에 대한 법 집행 기관의 단속과 AlphV/BlackCat 그룹의 출구 사기로 인해 피해자들이 몸값을 지불하는 데 대한 신뢰가 훼손된 것이 원인입니다. 그럼에도 불구하고 랜섬웨어 공격은 여전히 만연하며, 중요 인프라는 여전히 심각한 위협에 직면해 있습니다.
더 보기
우크라이나를 지지하는 해커 그룹인 옐로우 드리프트가 러시아 최대 정부 및 기업 조달 전자 거래 플랫폼인 로셀토르그에 대한 사이버 공격의 책임을 주장했습니다. 이 그룹은 550테라바이트의 데이터를 삭제했다고 주장합니다. 로셀토르그는 처음에 서비스 중단을 '유지보수 작업'으로 돌렸지만, 나중에 공격을 인정하고 데이터와 인프라는 복구되었다고 밝혔습니다. 이 공격은 국방부와 로스콤나드조르를 포함한 러시아 대기업과 정부 기관에 영향을 미쳤습니다. 이 사건은 러시아와 우크라이나 사이의 지속적인 사이버 전쟁과 중요 인프라에 대한 사이버 공격의 잠재적인 파괴적 영향을 보여줍니다.
더 보기